描述

在 Spring Framework 5.3.0 - 5.3.16、5.2.0 - 5.2.19 以及更舊的不受支援版本中，使用者可以提供專門設計的 SpEL 表示式，這可能導致拒絕服務情況。

受影響的 Spring 產品和版本

• Spring Framework
  • 5.3.0 到 5.3.16
  • 5.2.0 到 5.2.19
  • 更舊的、不受支援的版本也受影響

緩解措施

受影響版本的使用者應應用以下緩解措施：5.3.x 使用者應升級到 5.3.17+。5.2.x 使用者應升級到 5.2.20+。 不需要其他步驟。 已修復此問題的版本包括

• Spring Framework
  • 5.3.17+
  • 5.2.20+

鳴謝

此漏洞最初由 4ra1n 發現並負責任地報告。

參考

• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L
• https://cwe.mitre.org/data/definitions/770.html

歷史記錄

• 2022-03-28：釋出初始漏洞報告。
• 2022-04-05：澄清修復已向後移植到 Spring Framework 5.2.20。